配置自定义应用程序签名
注意:
从 Junos OS 19.3R2 和 19.4R1 版本开始,如果在带有 MX-SPC3 卡的 MX240、MX480 或 MX960 路由器上启用了新一代服务,则宽带订阅者管理也支持应用识别。
您可以使用自定义签名配置自定义应用程序定义。根据这些定义,可以通过深度包检测 (DPI) 识别协议包,以供服务链中感兴趣的服务使用。
在配置自定义应用程序签名之前,请确保在 MS-MPC 或 MX-SPC3 服务卡的所有必需接口上配置该 jservices-jdpi 签名(如果已在 MX240、MX480 或 MX960 上启用了新一代服务)。要查看如何在 MS-MPC 或 MX-SPC3 服务卡上配置程序包,请执行以下作:
对于 Junos OS 订阅者感知,请参阅 服务 PIC 的预配置组和会话 PIC 概述 。
有关 Junos OS 宽带订阅者管理,请参阅 安装订阅者管理应用感知策略管理服务包。
要配置一个或多个自定义应用程序签名,请执行以下作:
- 指定应用程序的名称。
[edit services application-identification] user@host# edit application application-name
例如:
[edit services application-identification] user@host# edit application my:http
- 指定应用程序的说明。
[edit services application-identification application application-name] user@host# set description description
例如:
[edit services application-identification application my:http] user@host# set description "Test application"
- 为应用程序指定备用名称。
[edit services application-identification application application-name] user@host# set alt-name alt-name
例如:
[edit services application-identification application my:http] user@host# set alt-name my:http-app
- 启用应用程序系统缓存 (ASC) 的保存。
[edit services application-identification application my:http] user@host# set cacheable
- 指定 Junos OS 版本的名称以实现兼容性。
[edit services application-identification application application-name] user@host# set compatibility junos-compatibility-version
例如:
[edit services application-identification application my:http] user@host# set compatibility 17.1
- 指定所需的任何应用程序标记,由用户定义的名称和值组成。
[edit services application-identification application application-name] user@host# set tags tag-name tag-value
例如:
[edit services application-identification application my:http] user@host# set tags traffic-type video-stream
- 指定一个或多个基于地址的签名。
指定目标地址和目标端口范围。
[edit services application-identification application application-name] user@host# set filter ip 200.0.0.2/24 port-range [80]
- 指定基于 ICMP 的签名。
指定 ICMP 类型和代码。
[edit services application-identification application application-name] user@host# set icmp-mapping type icmp-type code icmp-code
例如:
[edit services application-identification application my:http] user@host# set icmp-mapping type 33 code 34
- 指定基于 IP 协议的签名。
按协议号指定 IP 协议。
[edit services application-identification application application-name] user@host# set ip-protocol-mapping protocol protocol-number
例如:
[edit services application-identification application my:http] user@host# set ip-protocol-mapping protocol 103
允许所有 IP 协议映射,但协议编号 1、6、17 不允许在基于 IP 协议的签名下进行配置。如果尝试在 ip-protocol-mapping 下配置协议 1、6、17,则会收到提交错误。
- 通过模式匹配和第 4 层协议,指定一个或多个第 4 层和第 7 层签名。
指定第 4 层和第 7 层签名的名称。
[edit services application-identification application application-name over protocol-type] user@host# set signature l4-l7-signature-name
例如:
[edit services application-identification application my:http over http] user@host# set signature myl3l7
指定在应用程序分类过程中发生冲突时要使用的顺序。在这种情况下,对最低顺序的应用程序进行分类。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set order order
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set order 1
指定使用此签名的优先级,而不是使用任何匹配的预定义签名。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# set order-priority (high | low)
例如:
[edit services application-identification application my:http over http signature myl3l7] user@host# set order-priority high
(选答)指定协议。如果您将新一代服务与 MX-SPC3 服务卡搭配使用,请不要执行此步骤。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# set protocol (http | ssl | tcp | udp)
例如:
[edit services application-identification application my:http over http signature myl3l7] user@host# set protocol http
(选答)指定要按顺序匹配的成员。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# set chain-order
指定成员。您最多可以重复此步骤以定义四个成员。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# edit member member-name
例如:
[edit services application-identification application my:http over http signature myl3l7] user@host# edit member m01
指定成员的标识模式。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set pattern pattern
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set pattern "www\.facebook\.net"
指定应用模式匹配的流的方向。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set direction (any | client-to-server | server-to-client)
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set direction any
指定校验字节数。此选项仅适用于 TCP 和 UDP。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set check-bytes max-bytes-to-check
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set check-bytes 5000
- (仅适用于使用 MX-SPC3 服务卡的新一代服务)提交更改后,您可以检查自定义签名承诺的状态。
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host> show services application-identification commit-status